原标题:深度解读:互联网金融电子合同平安标准征求意见稿
4月23日,中国互联网金融协会发布关于《互联网金融集体网络借贷电子合同平安标准》(下称“标准”)集团规范征求意见的告诉,告诉指出,标准经过立项审评、起草任务组讨论起草阶段,目前已构成集团规范征求意见稿,依照《中国互联网金融协会集团规范管理方法》,现向相关会员单位征求意见。
(征求意见告诉)
随告诉共同发布的还有3个附件,其中附件二《〈互联网金融集体网络借贷电子合同平安标准〉编制阐明》注明了标准的背景及历史意义。协会约请了包括蚂蚁金服、京东金融、e签宝和宜信在内的17家机构成立标准起草任务组,依照国度规范对标准草案稿和编制阐明停止修订完善,构成征求意见稿。
e签宝作为中国规模最大的电子签名平台,深化参与到标准的制定中,并凭仗弱小的实力给予标准的构成以积极的影响。目前标准还处于面向相关单位征求意见的阶段,因而,我们觉得有必要针对相关内容停止适当的解读,协助相关企业进一步了解标准。
01 将电子合同订立零碎和电子数据存证零碎别离
(《标准》目录)
解读:从整理框架构造上看,本标准规则提供电子签名技术效劳的第三方,需求将电子合同订立零碎和电子数据存证零碎别离运营,两套零碎需求契合不同的技术、流程和资质的要求,电子合同订立零碎次要包括电子合同的订立进程节点、电子签名、合同存储和调用;电子合同存储零碎是独立于电子合同缔约各方,提供电子合同信息保管的效劳机构,可以为电子合同提供更多信息的真实性的证明。除此之外,对电子合同存储效劳提供商的效劳资质、技术保证才能和管理有更严厉的要求。
02电子认证和电子签名的监管不同,细清楚确
电子签名人是创立牢靠电子签名的实体,可以是自然人或单位机构受权的代表人。对电子签名人身份的正确标识是牢靠电子签名的基本。
《标准》5.1
解读:依据本标准的第3.4、3.5、3.8、5和6.5条规则,电子认证是指基于PKI的数字签名认证技术,经过PKI的数字签名认证技术,可以完成为网络用户颁发数字证书,而电子签名是电子合同订立零碎中采用密码模块或密码产品为网络用户完成契合《电子签名法》中关于牢靠电子签名要求,完成基于PKI的数字签名认证技术上的签名使用技术,因而针对电子认证和电子签名的监管的资质会有不同,电子认证机构该当获得工信部颁发的《电子认证效劳答应证》,电子签名该当具有国度密码管理局颁发的商用密码产品型号资质证书。
03网络用户身份核验的要求更为严厉
借款人、出借人登录平台,应提交真实、完好和精确的团体或企业身份信息,平台应对平台上发生投融资活动的借款人、出借人的身份信息停止审核,只要实名核验经过的团体或企业,才干在平台停止投融资活动。
实名核验包括对借款人和出借人提供的无效证件真实性、分歧性、志愿真实性三方面停止核验。平台可依据平台本身的风控制度自主选择实名核验的方式。
《标准》6.2.1
解读:规则必需经过实名核验的主体才干在互金平台上停止投融资活动,并且明白界定了停止投融资活动的借款人、出借人实名核验的三要素:真实性、分歧性、志愿真实性。在实践的业务展开进程中确实有不少平台在实名核验施行方面比拟宽松,比拟多见仅完成真实性、分歧性的校验,而志愿真实性往往会被疏忽。本标准特别强调了志愿真实性,意在对现有的不标准操作停止约束,置信可以起到较好的标准作用,降低基于电子合同的投融资活动前期纠纷处理的难度。
平台在对团体停止实名核验时可采用的方式包括以下几种:
a) 线下核验:包括对团体无效证件的现场审核,团体生物特征信息的采集及比对核验,停止物证合一确实认;
b) 线上核验:核验信息包括姓名、身份证号码或身份证网证、手机号码或银行卡号(至多包括姓名、身份证号码和身份证网证中的一种),应应用政府威望部门的数据库或获得政府威望部门受权或认可的数据库等,并采用生物特征辨认技术或其他平安无效的技术手腕停止物证合一确实认;也可经过电子认证效劳机构颁发的数字证书停止实名核验
c) 其他经过认可的,可保证团体无效证件真实性、分歧性及志愿真实性的实名核验方式
《标准》6.2.2
#p#分页标题#e#解读:实名认证的内容不只局限在认定核定线下用户和线上用户的信息的真实性的核验,还有线下用户的真实志愿性停止核验。由于现行的实名认证的方式有很多种,本标准,经过明白实名认证的品种,让网络借贷平台跟进平台本身的风控制度自主选择相关实名核验的方式来停止网络身份和线下身份分歧性的风险防控。依据标准,团体实名核验支持的实名认证方式包括线下、线上、数字证书及其他方式,其中线上核验的方式不只包括根底信息比对,还需求同时做生物互联网思维,就是在(移动)互联网+、大数据、云计算等科技不断发展的背景下,对市场、用户、产品、企业价值链乃至对整个商业生态进行重新审视的思考方式。特征辨认技术或其他平安无效的技术手腕核验线下用户和线上用户的身份。企业实名认证核验方式包括线下、线上、数字证书及其他方式,企业实名认证的线上方式需求将核对企业中心隐私数据来确定企业的真实志愿。同时经过标准的规则,数字证书也是用来核验线下用户和线上用户身份真实性的一种独立的方式,这不只是法律的规则,也是数字证书证明用户网络身份的一种十分终于的身份标识。
04对电子合同订立零碎从部署到资质、网络平安要求更精密和严厉
根据标准第6.4-6.8是对电子合同订立零碎全体从密码算法、零碎部署、零碎要求、零碎需求契合的平安性的评价、监管有明细的规则,为实践的业务提供了标准性的参考,也为网络借贷机构选择电子合同订立零碎的技术效劳提供商有了选择的评价根据。为了确保电子合同订立零碎的波动性,本规则对资质的规则,还穿透到电子合同订立零碎的云效劳推销商,为电子合同订立零碎提供云计算效劳的云平台,需求具有工信部的可信云效劳认证。
电子合同订立零碎所触及的密码算法可包括但不限于:杂凑算法、非对称密码算法、对称密码算法等,一切算法应是国度密码主管部门认可的算法。
电子合同订立零碎采用的密码模块或密码产品应具有国度密码管理局颁发的商用密码产品型号资质证书。
《标准》6.4
解读:电子合同订立零碎采用的密码模块或密码产品必需具有型号资质证书。这对从业者提出了较高的要求,对标准行业,挑选有实力有经历的厂商是有十分好的协助。像e签宝这样业内为数不多的持有型号资质证书的厂商将获得较大的竞争优势。
电子合同采用的可信工夫戳应满足如下要求:
a) 从业机构或其协作的第三方电子合同订立零碎效劳商应确保合同具有可信工夫戳要素,满足防窜改要求;
b) 工夫戳要求应满足GB/T 20520-2006中规则的要求。
《标准》6.6
解读:强调可信工夫戳要素,可信是指工夫源的可信,以及工夫源固化入电子签名数据的可信两个层面。e签宝采用可信的工夫源(国度授时中心采自北斗卫星),并且运用威望机构制造的工夫戳签名,从基本上确保工夫戳的可信性。
05电子合同订立零碎终止效劳后,效劳延续性的规则
从业机构运用第三方电子合同订立零碎的,应与其效劳商商定履如下义务:
a)第三方电子合同订立零碎效劳商不能持续提供效劳时,该当在终止或转移效劳九十日前以书面方式告知从业机构;
b)第三方电子合同订立零碎效劳商应向从业机构提供单方认可的电子合同数据迁移方案并提供技术支持,保证从业机构电子合同数据迁移进程的秘密性、完好性、可用性。
解读:为了确保电子合同订立零碎的效劳延续性,电子合同订立零碎在不能持续提供效劳时,要提早90日的告知义务,数据迁移方案的技术支持及相关监管机构备案等合规任务,确保从业机构业务的波动性和延续性,从而维护从业机构网络用户的信息平安。
06明白电子合同订立零碎的数据平安范围
根据标准第6.7.7、6.7.8规则,数据平安不只仅是技术层面,经过加密存储、拜访控制、数据备份对数据停止维护,还对电子合同订立零碎效劳商本身的资质、平安管理制度、信息维护制度等制度层面,确保电子合同信息的数据平安。
07对从业机构采用电子合同订立效劳后,对从业机构的效劳更明白
根据标准第6.10规则,从业机构采用了电子合同订立零碎停止电子合同签署,该当将电子合同订立零碎提供的效劳作为从业机构本人的效劳的一局部,比方为从业机构的用户提供电子签名的验证,本身需求有真实身份表示,留存网络用户的合同记载,留存期限为自合同到期日5年、需求活期停止信息平安施行测评等。
08明白电子合同存储效劳要求
电子合同存储效劳作为独立于从业机构,及电子合同订立零碎之外的独立的零碎,在标准中作为一整章的局部停止规则。
#p#分页标题#e#关于电子合同的存储期限,从6.10和7.1条的规则可以看出,假如从业机构选择第三方电子合同存储效劳的,电子合同存储效劳零碎需求确保电子合同的保管期限应自合同到期日起5年,电子合同与纸质合同的区别,不只是签章的区别,在合同的保管,保管方式也是有其电子化的特性的,一旦电子合同灭失将很难取得,因而,对电子合同存储期限停止限制,不只有利于电子合同的检查,下载,也有利于电子合同签约方的前期举证的需求。
电子合同第三方存储零碎所触及的密码算法可包括但不限于:杂凑算法、非对称密码算法、对称密码算法等,一切算法应是国度密码主管部门认可的算法。
电子合同第三方存储零碎采用的密码模块或密码产品应具有国度密码管理局颁发的商用密码产品型号资质证书。
《标准》7.2
解读:电子合同第三方存储零碎需求采用密码算法对电子合同数据、电子合同的进程数据停止加密,确保数据的平安,数据传输的平安,因而,密码算法、密码产品该当契合密码监管部门国度密码管理局的规则。
数字签名技术是基于非对称密码学的一个密码产品,不只可以用来签署合同,还可以用来对电子合同,进程数据停止固定确权,因而假如电子合同存储零碎中需求运用数字签名技术的,是需求具有国度密码管理局颁发的商用密码产品型号资质证书。
电子合同第三方存储零碎应具有公安部信息平安等级维护三级或许更初级别认证。
电子合同第三方存储零碎部署在私有云时,云效劳应经过工业和信息化部的可信云效劳认证。
电子合同第三方存储效劳商应具有ISO 27001认证。
《标准》7.3
解读:电子合同第三方存储零碎需求具有零碎平安的资质,同时标准还将资质的要求穿透到了电子合同第三方存储零碎的私有云的云计算的效劳提供商,明白,为电子合同第三方存储零碎的云计算效劳提供商,需求具有工信部的可信云效劳认证。除此之外,电子第三方存储零碎的效劳商自身,需求具有ISO27001的认证。因而从效劳商到零碎,到云效劳的提供商,三个方面,确保电子合同存储效劳零碎能为网络借贷行业电子合同存储的平安性和合法性。
09司法举证要求
传统纸质的签署,转换成电子合同的签署,不只是签署形式,存储形式的变卦,也是司法审讯形式的革新,基于电子合同的在司法举证中会有不同的认定,尤其是网络借贷是在诉讼中会有很多争议发生,本平安标准,经过冗长的条文对司法举证停止了指引性的规则:
(1)明白提供技术效劳的效劳商,有协助举证方停止举证的义务;
(2)确定互联网金融集体网络借贷行业的证据目录应包括电子合同、资金流水,以及平台账户信息及操作信息,以及从业机构实行平安和告知义务。
(3)确定第三方电子合同订立零碎效劳商和第三方存储效劳商可以与仲裁或司法鉴定机构协作对接,完成更快捷的判决和出证;
(4)明白数字证书的验证责任应该为电子认证效劳机构提供;
(5)电子签名委托别人施行签名行为是,需求提供电子签名制造数据由电子签名人控制的证据。
(6)经过国际级行业自律组织的停止解密,来对电子合同的证明力有更高的效能。
10电子合同平台应具有商用密码产品型号答应证
标准6.4提到,“电子合同订立零碎采用的密码模块或密码产品应具有国度密码管理局颁发的商用密码产品型号资质证书”。
解读:e签宝作为第三方电子合同效劳商,拥有全行业最全的资质,同时也是独一一家同时拥有《商用密码产品型号证书》、《商用密码产品销售答应证》和《商用密码产品消费定点单位证书》的电子签名企业。
所以,签合同,就用e签宝!
企业海
